zagadnienia prawne

„Bezpieczeństwo danych osobowych w usługach w chmurze
zagadnienia prawne”
Warszawa, dnia 1 marca 2016 r.
Maria Markiewicz
radca prawny
Podstawowe akty prawne
● Ustawa z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (UODO)
● Rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych,
jakimi powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych
osobowych
● Dyrektywa Parlamentu Europejskiego i Rady z dnia
24 października 1995 r. w sprawie ochrony osób
fizycznych w zakresie przetwarzania danych
osobowych oraz swobodnego przepływu tych
danych (Dyrektywa)
● Decyzje Komisji Europejskiej
● Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług
drogą elektroniczną
● Regulacje sektorowe
Podstawowe pojęcia
● dane osobowe – informacje dot. zidentyfikowanej lub
możliwej do zidentyfikowania osoby pozwalające na
określenie tożsamości tej osoby (bezpośrednie lub
pośrednie)
pozostałe dane – mogą być chronione np. tajemnica
przedsiębiorstwa
● administrator danych osobowych
(możliwe inne konfiguracje)
–
użytkownik
osoba fizyczna lub prawna, władza publiczna, agencja, lub
inny organ, który samodzielnie lub wspólnie z innymi
podmiotami określa cele i sposoby przetwarzania
(Dyrektywa)
organ, jednostka organizacyjna, podmiot lub osoba
decydująca o celach i środkach przetwarzania danych
(UODO)
Podstawowe pojęcia c.d.
● przetwarzający – dostawca usługi
osoba fizyczna lub prawna, władza publiczna, agencja, lub
inny organ, który samodzielnie lub wspólnie z innymi osobami
przetwarza dane osobowe w imieniu administratora
(Dyrektywa)
podmiot, któremu powierzono przetwarzanie danych w drodze
umowy zawartej na piśmie (UODO)
● podpowierzenie danych – możliwe po spełnieniu
określonych warunków
Stosowanie prawa polskiego
● administrator danych ma siedzibę na terytorium Polski
lub prowadzi stałą i wyodrębnioną działalność na
terenie Polski
● administrator danych ma siedzibę poza EOG, ale
wykorzystuje do przetwarzania danych osobowych
środki techniczne znajdujące się na terytorium
Polski (o ile środki te nie służą wyłącznie do
przekazywania danych osobowych)
Zagrożenia dla ochrony danych
osobowych w chmurze
● brak kontroli
● brak przejrzystości
● przekazywanie danych do państw trzecich poza EOG
● brak systemowej regulacji prawnej dot. transferu
danych do USA
Przekazywanie danych do Stanów
Zjednoczonych
● 6 października 2015 TSUE stwierdził nieważność decyzji
Komisji Europejskiej 2000/520/WE z 26 lipca 2000, na mocy
której podmioty amerykańskie, które przystąpiły do
programu „Safe Harbor”, były traktowane jako
zapewniające adekwatny poziom ochrony danych
osobowych w rozumieniu przepisów europejskich
● okres karencji egzekwowania
31 stycznia 2016
wyroku
TSUE
minął
● podmioty muszą „na nowo” zapewnić odpowiednie
zabezpieczenia w zakresie ochrony prywatności oraz praw
wolności osoby, której dane dotyczą
GIODO zyskał kompetencje do weryfikacji
przekazywania danych do państw trzecich
● zakazywanie przekazywania danych
● sankcja finansowa
po wejściu w życie Rozporządzenia o ochronie danych osobowych
Ogólne rozporządzenie
o ochronie danych
● 17 grudnia 2015 r. Komisja Wolności Obywatelskich,
Sprawiedliwości i Spraw Wewnętrznych zajęła stanowisko
względem tekstu uzgodnionego trójstronnie między Radą,
Parlamentem Europejskim i Komisją
● 18 grudnia 2015 r. tekst ten został zaaprobowany przez
Komitet Stałych Przedstawicieli
● uzgodniony akt zostanie teraz przedłożony Radzie i następnie
trafi do Parlamentu do zatwierdzenia
● Rozporządzenie wejdzie w życie najprawdopodobniej wiosną
2016 r. i zacznie obowiązywać wiosną 2018 r.
Zakres zastosowania
● administratorzy zarejestrowani w UE
niezależnie od tego, czy dane przetwarzane są w granicach
czy poza granicami UE
● administratorzy zarejestrowani poza UE, o ile:
● przetwarzane są dane
mających siedzibę w UE
osobowe
podmiotów
● przetwarzanie danych wiąże się z oferowaniem
towarów lub usług podmiotom w UE lub też
z monitorowaniem ich zachowań
Prawa podmiotu danych
● podmiot danych może w uzasadnionych przypadkach
domagać się wymazania jego danych osobowych
i wnosić o wstrzymanie dalszego rozpowszechniania
jego danych
● obowiązek administratora, który podał dane osobowe
podmiotu do wiadomości publicznej do poinformowania
osób trzecich o wniosku:
● dot. usunięcia wszelkich linków
● dot. usunięcia wszelkich kopii lub replikacji tych
danych
Prawo do przenoszenia
danych
● prawo do uzyskania od administratora kopii
swoich danych w powszechnie używanym
formacie elektronicznym
● administrator
nie
przenoszeniu danych
może
zapobiegać
Zasada „mechanizmu kompleksowej
obsługi”
organ nadzoru, w państwie, w którym znajduje
się główna siedziba administratora/podmiotu
przetwarzającego dane zyskuje kompetencje
również w pozostałych państwach, w których
działa ten administrator/przetwarzający dane
(oddziały w innych państwach członkowskich)
Sankcje
● sankcje administracyjne
● skuteczna, proporcjonalna i odstraszająca
● grzywna (umyślność lub lekkomyślność)
do 20 000 000 EUR lub 4% całkowitego
rocznego obrotu
● kary
państwa członkowskie ustanawiają kary oraz
przyjmują
wszystkie
niezbędne
środki
do
zapewnienia ich wykonania
Nowość – kary administracyjne nakłada krajowy organ ochrony danych
Dziękuję
Maria Markiewicz
[email protected]
Kancelaria Radców Prawnych
Kalinowski Wojciński Korzybski Sp. j.
ul. Elektoralna 11 lok. 8
00-137 Warszawa
tel. (22) 652 31 15
fax (22) 620 12 42